Affectation de clés de chiffrement principales
Affectez des clés de chiffrement principales aux ressources prises en charge et supprimez-les lorsqu'elles ne sont plus nécessaires.
Au lieu d'utiliser une clé de chiffrement gérée par Oracle, vous pouvez affecter des clés de chiffrement principales que vous gérez aux volumes par blocs ou de démarrage, aux bases de données, aux systèmes de fichiers, aux seaux et aux groupes de flux. Les services de volume par blocs, de base de données, de stockage de fichiers, de stockage d'objets et de flux utilisent ces clés pour déchiffrer les clés de chiffrement qui protègent les données stockées par chaque service respectif. Par défaut, ces services font appel aux clés de chiffrement principales gérées par Oracle pour les opérations cryptographiques. Lorsque vous supprimez une affectation de clé de chiffrement principale du service de chambre forte d'une ressource, le service recommence à utiliser une clé gérée par Oracle pour la cryptographie.
Vous pouvez également affecter des clés de chiffrement principales aux grappes que vous créez à l'aide de Kubernetes Engine pour chiffrer les clés secrètes Kubernetes au repos dans le magasin de valeurs de clés etcd.
L'affectation de clés comprend les configurations suivantes :
- Création d'une instance de calcul avec un volume de démarrage chiffré
- Création d'un volume de démarrage chiffré avec une clé du service de chambre forte
- Création d'une grappe Kubernetes avec des clés secrètes chiffrées
- Affectation d'une clé à un seau de stockage d'objets
- Affectation d'une clé à un groupe de flux
- Affectation d'une clé à un volume de démarrage
- Affectation d'une clé à un système de fichiers
- Affectation d'une clé à un volume par blocs
- Modification d'une clé d'un volume de démarrage
- Modification d'une clé d'un volume par blocs
- Suppression d'une affectation de clé d'un volume par blocs
- Suppression d'une affectation de clé d'un stockage d'objets
Pour plus d'informations sur la gestion de la création et de l'utilisation des clés de chiffrement principales et des versions de clé, voir Gestion des clés. Pour des informations spécifiques sur la création de clés avec votre propre matériel, voir Importation de clés et de versions de clé du service de chambre forte. Pour plus d'informations sur l'utilisation des clés dans les opérations cryptographiques, voir Utilisation des clés. Pour savoir comment utiliser les chambres fortes dans lesquelles vous stockez les clés, voir Gestion des chambres fortes.
Politique GIA requise
Les clés associées aux volumes, seaux, systèmes de fichiers, grappes et groupes de flux ne fonctionneront que si vous autorisez les volumes par blocs, le stockage d'objets, le stockage de fichiers, le moteur Kubernetes et le service de flux à utiliser des clés en votre nom. De plus, vous devez également avant tout autoriser les utilisateurs à déléguer l'utilisation des clés à ces services. Pour plus d'informations, voir Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment et Créer une politique pour activer les clés de chiffrement dans Politiques communes. Les clés associées aux bases de données ne fonctionneront pas sauf si vous autorisez un groupe dynamique qui inclut tous les noeuds du système de base de données à gérer les clés dans la location. Pour plus d'informations, voir Politique IAM requise dans Exadata Cloud Service
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.
Pour les administrateurs : Pour les politiques standard qui permettent l'accès aux chambres fortes, aux clés et aux clés secrètes, voir Autoriser les administrateurs de la sécurité à gérer les chambres fortes, les clés et les clés secrètes. Pour plus d'informations sur les autorisations ou si vous devez écrire des politiques plus restrictives, voir Informations détaillées sur le service de chambre forte.
Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et Politiques communes.